SA-238 Solaris 8讀書筆記.doc

此文檔收集于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系網(wǎng)站刪除SA-238讀書筆記1http:/T 2005-9-13 14:03:00 ChinaU經(jīng)過2個(gè)半月的實(shí)踐，現(xiàn)在的我已經(jīng)對(duì)Solaris有了一個(gè)基本的了解。但是很多概念模糊不清，后來經(jīng)過看蜘蛛老師的CHM，使我認(rèn)識(shí)了chinaunix。在論壇中，我學(xué)到了很多東西，但是不夠系統(tǒng)，很多問題的回答都是以經(jīng)驗(yàn)和技巧為主。所以，我決定學(xué)習(xí)SUN的認(rèn)證教材，以使我能系統(tǒng)的學(xué)習(xí)Solaris。但是，我身邊沒有老師，完全是自學(xué)。為了能夠解決我在學(xué)習(xí)過程中遇到的問題，我決定把我的讀書筆記放到論壇上來。希望各位老師，朋友辛苦辛苦，看到有錯(cuò)的地方，看到有理解不對(duì)的地方，都幫我指出來。謝謝各位老師。Solaris8操作環(huán)境系統(tǒng)管理導(dǎo)論管理獨(dú)立的系統(tǒng)。管理用戶帳號(hào)。維護(hù)系統(tǒng)安全。設(shè)置新設(shè)備。安裝磁盤驅(qū)動(dòng)器和分區(qū)。調(diào)度系統(tǒng)相關(guān)的工作。維護(hù)打印服務(wù)。管理bootPROM。設(shè)置系統(tǒng)初始化文件。安裝Solaris操作環(huán)境軟件（Solaris操作系統(tǒng)）。管理軟件包和補(bǔ)丁。執(zhí)行備份和恢復(fù)操作。管理災(zāi)難恢復(fù)管理客戶/服務(wù)器系統(tǒng)。設(shè)置網(wǎng)絡(luò)環(huán)境。設(shè)置syslog實(shí)用程序。設(shè)置和管理網(wǎng)絡(luò)文件系統(tǒng)（NFS）。設(shè)置cacheFS文件系統(tǒng)。使用自動(dòng)mount。設(shè)置名稱服務(wù)。設(shè)置啟動(dòng)協(xié)議。安裝和設(shè)置SolsticeAdminSuite。使用Jumpstart安裝操作系統(tǒng)（無人職守）系統(tǒng)管理員術(shù)語(yǔ)。Host：計(jì)算機(jī)系統(tǒng)的另外一個(gè)名字。Hostname：系統(tǒng)管理員為了區(qū)別網(wǎng)絡(luò)上的其他主機(jī)，為主機(jī)取的唯一的名字。使用uname-n顯示主機(jī)名。Internet(IP)address。Ethernetaddress。Server：主機(jī)提供一個(gè)或者多個(gè)服務(wù)在一個(gè)網(wǎng)絡(luò)上。Client：使用服務(wù)器提供的服務(wù)的主機(jī)。文件服務(wù)器。打印服務(wù)器。應(yīng)用服務(wù)器SA-238讀書筆記2http:/T 2005-9-13 14:03:00 ChinaU添加用戶為每一個(gè)需要訪問系統(tǒng)的用戶設(shè)置用戶帳號(hào)是系統(tǒng)管理員的重要任務(wù)。每個(gè)用戶帳號(hào)都包括以下的5個(gè)部分。用戶名：用戶登陸進(jìn)系統(tǒng)的唯一的名字。也叫做loginname（登陸名）密碼：用戶獲取訪問權(quán)限時(shí)必須輸入的一組字母，數(shù)字或者特殊字符組成的6-8位的字符串（也就是說，密碼的長(zhǎng)度必須是6-8位）用戶的主目錄：用戶登陸后所處的位置目錄，用來建立和存儲(chǔ)文件用戶的登陸shell：用戶的工作環(huán)境，是根據(jù)初始化文件中定義的用戶登陸shell決定的，在Solaris操作系統(tǒng)中總共有6中shell，他們包括Bourneshell,Kornshell,Zshell,BASHshell和TCshell。用戶初始化文件：決定用戶在登陸進(jìn)系統(tǒng)后的工作環(huán)境的shell腳本。管理用戶帳號(hào)在能夠添加用戶之前，必須為新用戶確定下列的事情：。登陸名：每個(gè)用戶名必須是唯一的。并且包括2-8個(gè)字母（A-Z,a-z），也就是大小寫敏感。和數(shù)字。第一個(gè)字符必須是字母，并且最少有一個(gè)小寫字母。用戶名不能包含下劃線和空格。用戶識(shí)別號(hào)碼（UID）：用戶在系統(tǒng)中的唯一的號(hào)碼。UID的范圍是100-60000，所有的UID必須唯一。組識(shí)別號(hào)碼（GID）：每一個(gè)用戶屬組在系統(tǒng)中的唯一的識(shí)別號(hào)碼。GID的范圍是100-60000。描述：定義用戶。通常包括用戶的全名和功能信息。例如電話號(hào)碼或者地址。home目錄：定義用戶的home目錄的路徑。loginshell：。Password過期：使用admintool管理用戶帳號(hào)PrimaryGID,SecondaryGID一個(gè)用戶只能同時(shí)屬于2個(gè)組嗎？這兩個(gè)組有區(qū)別嗎？比如一個(gè)用戶屬于A組，同時(shí)屬于B組，他們之間是互補(bǔ)的嗎？定位用戶的所有文件#find/-userUID刪除擁護(hù)的所有文件#find/-userUID-execrm;保存用戶和組帳號(hào)信息/etc/passwd/etc/shadow/etc/group/etc/passwd文件loginID:UID:GID:comment:home_directory:login_shell一些默認(rèn)的系統(tǒng)帳號(hào)rootUID:0超級(jí)用戶帳號(hào)，幾乎沒有任何約束并且不考慮其他所有的登陸，保護(hù)和許可；可以進(jìn)入系統(tǒng)訪問daemonUID:1控制后臺(tái)進(jìn)程的系統(tǒng)帳號(hào)binUID:2管理大部分命令的帳號(hào)sysUID:3管理許多系統(tǒng)文件的帳號(hào)admUID:4管理某些管理文件的帳號(hào)lpUID:71打印服務(wù)帳號(hào)smtpUID:0smtp郵件者使用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。SMTP是INTERNET標(biāo)準(zhǔn)協(xié)議uucpUID:5為UNIX-to-UNIX拷貝程序（UUCP）捆綁數(shù)據(jù)文件和目標(biāo)的帳號(hào)nuucpUID:6使用遠(yuǎn)程系統(tǒng)登陸到主機(jī)傳送文件的帳號(hào)listenUID:37網(wǎng)絡(luò)監(jiān)聽?zhēng)ぬ?hào)nobodyUID:60001匿名帳號(hào)，當(dāng)獨(dú)立于root用戶建立一個(gè)需求時(shí)分派NFS服務(wù)器。nobody帳號(hào)分派軟件進(jìn)程時(shí)不需要任何特殊的權(quán)限。noaccessUID:60002需通過一些應(yīng)用程序而不登陸系統(tǒng)時(shí)，為了訪問系統(tǒng)而為一個(gè)用戶或者進(jìn)程分派的帳號(hào)nobody4UID:65534SunOS4.0或者4.1的匿名帳號(hào)/etc/shadow文件loginID:password:lastchg:min:max:warn:inactive:expire/etc/group文件groupname:group-password:GID:username-list從命令行建立和管理帳號(hào)建立帳號(hào)useradd-uuid-ggid-Ggid,gid,.-ddir-m-sshell-ccommentloginname其中-m和-d有什么區(qū)別呢？相關(guān)命令usermoduserdelgroupaddgroupmodgroupdel總共有2個(gè)問題有點(diǎn)不明白1。一個(gè)用戶只能同時(shí)屬于2個(gè)組嗎？這兩個(gè)組有區(qū)別嗎？2。useradd命令中，-m和-d有什么區(qū)別呢？SA-238讀書筆記3http:/T 2005-9-13 14:03:00 ChinaU理解初始化文件當(dāng)用戶登陸到系統(tǒng)，他們的登陸SHELL會(huì)檢查和執(zhí)行2個(gè)不同類型的初始化文件。第一個(gè)文件控制的是系統(tǒng)的大環(huán)境。第二個(gè)文件控制的是用戶的工作環(huán)境。系統(tǒng)大環(huán)境初始化文件：2個(gè)主要的系統(tǒng)初始化文件叫做/etc/profile；/etc/.loginBshell和Kshell執(zhí)行/etc/profile文件Cshell使用/etc/.login文件用戶初始化文件：用戶初始化文件定位于每個(gè)用戶的home目錄用戶初始化文件的主要工作是定義特有的用戶工作環(huán)境，包括諸如用戶搜索路徑，環(huán)境變量和窗口環(huán)境。文件的所有者或者root可以改變或者定制這些文件的內(nèi)容6種shell的初始化文件shell類別系統(tǒng)大環(huán)境初始化文件用戶初始化文件shell路徑Bourne/etc/profile$HOME/.profile/bin/shKorn/etc/profile$HOME/.profile/bin/kshC/etc/.login$HOME/.cshrc/bin/cshZ/etc/zshenv$HOME/.zshenv/bin/zsh/etc/zprofile$HOME/.zprofile/etc/zshrc$HOME/.zlogin/etc/zloginBASH/etc/profile$HOME/.bash_profile/bin/bash$HOME/.bash_login$HOME/.profileTC/etc/csh.cshrc$HOME/.tcshrc/bin/tcsh定制工作環(huán)境shell支持2個(gè)類型的變量環(huán)境變量：任何shell程序啟動(dòng)都從這些用戶環(huán)境變量獲得信息。本地變量：這只影響當(dāng)前的shell，任何子shell啟動(dòng)將沒有這些。參考shell編程基本知識(shí)。SA-238讀書筆記4http:/T 2005-9-13 14:03:00 ChinaU系統(tǒng)安全管理系統(tǒng)安全概述。維護(hù)密碼和登陸控制。監(jiān)視系統(tǒng)使用。限制對(duì)包含有數(shù)據(jù)的文件的訪問。跟蹤root登陸。監(jiān)視setuid程序?？刂圃诰W(wǎng)絡(luò)上的遠(yuǎn)程訪問管理登陸和訪問控制所有的帳號(hào)在系統(tǒng)上必須有一個(gè)密碼。任何帳號(hào)在沒有密碼的情況在，都是為經(jīng)授權(quán)的，所以不能訪問本地主機(jī)和進(jìn)入網(wǎng)絡(luò)。pwconv命令pwconv命令用來從/etc/passwd文件中建立和升級(jí)/etc/shadow文件pwconv文件依賴于/etc/passwd文件中密碼區(qū)域中的x。x指出密碼已經(jīng)存在于/etc/passwd文件。PS:/etc/shadow文件loginID:password:lastchg:min:max:warn:inactive:expire/etc/group文件groupname:group-password:GID:username-list如果/etc/shadow文件不存在，pwconv將利用/etc/passwd文件來建立如果/etc/shadow是存在的，則執(zhí)行下面的步驟。如果條目在/etc/passwd文件中存在，而不在/etc/shadow文件中，則在shadow文件中添加。如果條目在/etc/shadow文件中存在，而不在/etc/passwd文件中，則在shadow文件中刪除記錄不良登陸記錄當(dāng)一個(gè)用從本地或者遠(yuǎn)程利用命令行方式登陸進(jìn)系統(tǒng)。login程序參考/etc/passwd和/etc/shadow文件中有授權(quán)的用戶來檢測(cè)用戶名和密碼。如果擁護(hù)提供的是/etc/passwd中的登陸名，并且提供了這個(gè)登陸名的正確的密碼，login程序就會(huì)允許訪問系統(tǒng)。如果用戶名不存在于/etc/passwd文件中或者密碼不是這個(gè)用戶名的正確密碼。login程序就拒絕訪問系統(tǒng)?？梢员４娌涣嫉牡顷憞L試到一個(gè)文件。/var/adm/loginlog系統(tǒng)默認(rèn)這個(gè)文件是不存在的，需要用#touche/var/adm/loginlog來建立他，并且賦予他只有root才有的讀寫權(quán)限。loginlog中的每個(gè)條目都包含一次不良登陸記錄，每個(gè)條目包括用戶登陸名，TTY設(shè)備和不良登陸嘗試時(shí)的時(shí)間。監(jiān)視系統(tǒng)訪問顯示在系統(tǒng)上的用戶#whowho命令信息來自于/var/adm/utmpx登陸設(shè)備類型。console：用于顯示系統(tǒng)啟動(dòng)和錯(cuò)誤信息的設(shè)備(顯示器嗎？)。pts：表示一個(gè)不需要物理設(shè)備的登陸或者窗口會(huì)話的偽設(shè)備。term：一個(gè)在物理上連接的設(shè)備。如串口。包括一個(gè)終端或者一個(gè)modem顯示用戶信息finger-musernamefinger-musernameremotehostname-m只與用戶名相匹配finger顯示用戶登陸名，home目錄路徑，登陸時(shí)間，登陸設(shè)備名，/etc/passwd文件中的描述部分的數(shù)據(jù)，登陸shell和主機(jī)名。如果用戶建立了標(biāo)準(zhǔn)的ASCII文件.plan或者.projects在他們的home目錄中，這些文件中的內(nèi)容就會(huì)在finger命令中輸出。這些文件傳統(tǒng)意義上用于用戶當(dāng)前的計(jì)劃和項(xiàng)目的大綱。并且必須建立文件訪問權(quán)限為644顯示登陸活動(dòng)的記錄使用last命令來記錄所有的登陸和登出。last信息來自于/var/adm/wtmpx每一條目包含用戶名，登陸設(shè)備，登陸的主機(jī)，日期和時(shí)間，總共用時(shí)。包括reboot時(shí)間。顯示遠(yuǎn)程系統(tǒng)上的用戶rusers命令的顯示類似于who命令，但是顯示用戶登陸地點(diǎn)的遠(yuǎn)程主機(jī)名。如果rps.rusersd后臺(tái)程序（既守護(hù)程序）是打開的，遠(yuǎn)程主機(jī)只回應(yīng)rusers命令。網(wǎng)絡(luò)服務(wù)器則返回遠(yuǎn)程主機(jī)上的列表?？刂苧oot訪問系統(tǒng)管理員應(yīng)該僅僅在完成管理任務(wù)時(shí)使用root帳號(hào)，盡量避免利用root帳號(hào)完成日常工作。這樣可以保護(hù)系統(tǒng)不被未經(jīng)授權(quán)的訪問威脅。可以用以下方式變更為root。直接使用root登陸，并且提供正確的root口令。使用正常的用戶登陸，然后調(diào)用su命令并且提供正確的root口令使用su命令變更為其他用戶su-username使用su，必須提供正確的密碼除非用戶已經(jīng)是root。root擁護(hù)可以運(yùn)行su而不需要密碼。如果密碼是正確的，su建立一個(gè)新的shell進(jìn)程，根據(jù)新用戶在/etc/passwd中shell區(qū)域中的定義。su-（破折號(hào)）選項(xiàng)指定一個(gè)完整的登陸。他改變用戶的工作環(huán)境為期待的用戶。有效的用戶ID和有效的組ID當(dāng)運(yùn)行新的su命令，有效的UID和有效的GID就切換到新用戶了，并且由EUID和EGID來決定訪問文件和目錄的權(quán)限。使用whoami命令顯示有效的當(dāng)前用戶名whoami命令顯示當(dāng)前的用戶IDsysadmin組任何用戶屬于sysadmin組（GID14）就可以運(yùn)行admintool來管理本地系統(tǒng)文件和功能。添加和刪除用戶，組，軟件，打印機(jī)和串行設(shè)備。如果沒有添加任何用戶到sysadmin，則只有root可以運(yùn)行admintool實(shí)用程序。管理用戶訪問在/etc/default目錄下的三個(gè)系統(tǒng)文件使root可以改變?nèi)ケO(jiān)視誰(shuí)使用了su命令，限制root訪問和為每一個(gè)用戶設(shè)置密碼老化規(guī)則。管理su嘗試/etc/default/su文件控制su嘗試的日志。CONSOLE變量默認(rèn)是注釋掉的。因此，所有的su嘗試都被記錄，不管是成功了還是失敗了。如果刪除描述提示符（#），CONSOLE變量是定義為/dev/console和所有成功的su嘗試。/var/adm/sulog中則只包含不成功的嘗試SULOG變量指定由哪個(gè)文件記錄su常識(shí)的日志，如果不定義，則此功能關(guān)閉。限制root訪問/etc/default/login文件以限定root訪問指定設(shè)備的方式來保護(hù)root帳號(hào)CONSOLE變量可以指定三個(gè)可能條件中的一個(gè)用于root登陸。如果變量定義為CONSOLE=/dev/console，root僅可以從console登陸，任何從其他地方企圖使用root登陸的嘗試都將失敗。如果變量沒有定義。root可以從任何設(shè)備通過網(wǎng)絡(luò)，通過modem或者使用終端登陸進(jìn)系統(tǒng)。如果變量沒有分配值（CONSOLE=），則root不能從任何地方登陸。只能使用正常帳號(hào)登陸后利用su命令變更為root（最為嚴(yán)格的，一船都不會(huì)這樣設(shè)置）執(zhí)行大環(huán)境密碼老化原則/etc/default/passwd中定義了3個(gè)不同的變量MAXWEEKS=MINWEEKS=PASSLENGTH=6其中PASSLENGTH是密碼的最小長(zhǎng)度。:em02:em02:em02:SA-238讀書筆記5http:/T 2005-9-13 14:03:00 ChinaU限制對(duì)包含有數(shù)據(jù)的文件的訪問當(dāng)你建立登陸限制之后，下一步就是控制對(duì)系統(tǒng)上數(shù)據(jù)的訪問控制。當(dāng)然，一些用戶需要能夠讀不同的文件，其他擁護(hù)需要改變或者刪除文件的權(quán)限,并且一些文件不能被用戶訪問。將需要共享文件的用戶放入一個(gè)組中。決定用戶組的成員groups命令可以為用戶顯示組的成員#groups（列本組成員）or#groups用戶組名（該組的成員列表）定義用戶帳號(hào)使用id命令可以更多的鑒別用戶?？梢粤谐鏊麄兊腢ID，用戶名，GID和組名。當(dāng)解決用戶的文件訪問問題時(shí)，這個(gè)命令比較有用。Id命令返回的是有效的UID和用戶名。如果user1登陸入系統(tǒng)，然后使用su命令變更為user4，那么id命令返回的是user4的信息。如果要看到指定用戶的所有帳號(hào)信息。使用-a選項(xiàng)。使用chown命令改變文件的所有者當(dāng)需要改變一個(gè)文件或者目錄的所有者時(shí)，就要用chown命令。默認(rèn)的，只有root才能夠改變?nèi)魏挝募蛘吣夸浀乃姓?。命令格式chownoption(s)user_namefilename(s)orchownoption(s)UIDfilename(s)改變目錄所有者-R選項(xiàng)使目錄包括目錄中的所有子目錄和文件都改變了所有者。（遞歸）使用chgrp改變文件的所有者（組）命令格式chgrpgroupnamefilename(s)chgrpGIDfilename(s)指定文件許可有三種類型的特定許可應(yīng)用于可執(zhí)行文件和公共目錄，他們包括。setuid許可。setgid許可。StickyBit許可setuid許可當(dāng)setuid設(shè)置在一個(gè)可執(zhí)行文件上的時(shí)候，運(yùn)行這個(gè)可執(zhí)行文件的用戶或者進(jìn)程就被替換為啟動(dòng)這個(gè)可執(zhí)行文件的用戶的所屬文件的訪問權(quán)限。（通常是root）我的理解：當(dāng)一個(gè)普通用戶，訪問一些設(shè)置了setuid的可執(zhí)行文件的時(shí)候，系統(tǒng)就把普通用戶的UID保存起來，改用這個(gè)文件的所有者的權(quán)限來執(zhí)行這個(gè)可執(zhí)行文件。然后返回給保存了的普通用戶的UID。Setuid的標(biāo)志在用戶執(zhí)行權(quán)限位置是一個(gè)“s”Root用戶和所有者可以利用chmod命令和8進(jìn)制數(shù)值4000設(shè)置setuid許可在一個(gè)可執(zhí)行文件上例子：#chmod4555executable_file查找已經(jīng)設(shè)置了setuid許可的文件的全路徑，執(zhí)行下面的命令#find/-perm4000setgid許可setgid許可與setuid是類似的除了有效的用戶GID或者進(jìn)程是改變文件的所有組。同樣，分配到其他組的反問許可也是基于所有組的。Setgid許可顯示一個(gè)“s”在組執(zhí)行權(quán)限的位置。Root用戶和所有者可以使用chmod命令和8進(jìn)制數(shù)值2000設(shè)置setgid許可在一個(gè)可執(zhí)行文件上例子：#chmod2555executable_file共享目錄setgid在建立共享目錄時(shí)是非常有用的。當(dāng)setgid許可應(yīng)用到一個(gè)目錄時(shí)，文件建立在屬于該組所屬的目錄。如果一個(gè)用戶在目錄中可寫并且在那建立了一個(gè)文件。那個(gè)文件屬于相同的組被看作一個(gè)目錄，并且沒有用戶組。建立一個(gè)共享目錄，必須建立setgid#chmodg+sshare_directory搜索已經(jīng)存在了setgid的文件和目錄#find/-perm2000StickyBit許可StickyBit是在公共可寫目錄中保護(hù)文件的特殊許可。如果一個(gè)目錄有stickyBit設(shè)置，一個(gè)僅僅可以被文件的所有者，目錄的所有者或者root刪除。這可以防止一個(gè)用戶在公共可寫目錄中刪除其他用戶的文件。StickyBit顯示是一個(gè)“t”在other的執(zhí)行區(qū)域。Root用戶和所有者可以使用chmod命令和8進(jìn)制數(shù)值1000設(shè)置StickyBit許可在目錄上例子：#chmod1777public_directory搜索已經(jīng)設(shè)置了StickyBit許可的目錄#find/-typedperm-1000系統(tǒng)安全這一部分我覺得很難，不過最終還是理解了一些。但不知道是不是正確，請(qǐng)論壇的各位老師給些指點(diǎn)，主要是setuid,setgid。我的理解：當(dāng)一個(gè)普通用戶，訪問一些設(shè)置了setuid的可執(zhí)行文件的時(shí)候，系統(tǒng)就把普通用戶的UID保存起來，改用這個(gè)文件的所有者的權(quán)限來執(zhí)行這個(gè)可執(zhí)行文件。然后返回給保存了的普通用戶的UID。我這個(gè)理解對(duì)不對(duì)呢SA-238讀書筆記6http:/T 2005-9-13 14:03:00 ChinaU訪問控制列表（AccessControlLists）：當(dāng)傳統(tǒng)文件保護(hù)不足時(shí)，訪問控制列表（簡(jiǎn)稱ACLs）可以提供更好的對(duì)文件訪問許可的控制。ACL提供更好的文件安全，授權(quán)文件所有者，文件所屬組，其他，指定的用戶和組允許定義文件許可。ACLs同樣授權(quán)用戶為每一個(gè)種類設(shè)置默認(rèn)的許可。例子：如果系統(tǒng)管理員希望每一個(gè)在特定組中的成員可以讀一個(gè)文件，可以簡(jiǎn)單的為這個(gè)組設(shè)置這個(gè)文件的讀許可。無論如何，如果系統(tǒng)管理員希望只有一個(gè)人可以對(duì)這個(gè)文件進(jìn)行寫操作呢？ACLs可以提供文件的安全級(jí)別，而傳統(tǒng)的UNIX文件系統(tǒng)的保護(hù)則不能提供這個(gè)功能。ACL信息是保存的并且使每一個(gè)文件或者目錄聯(lián)系起來。ACLs為文件或者目錄設(shè)置或者查看正在使用的命令和選項(xiàng)的描述。ACL命令和選項(xiàng)Command/Option描述Getfaclfilename(s)顯示在一個(gè)文件中的ACL條目Setfacloptionsfilename在一個(gè)文件上設(shè)置，添加，更改和刪除ACL條目Setfaclmacl_entries在文件上建立或者改變ACL條目 modifySetfaclsacl_entries在文件上刪除老的ACL條目并且重新添加一個(gè)新的ACL條目Setfacldacl_entries在文件上刪除一個(gè)或多個(gè)ACL條目Setfaclfacl_file指定一個(gè)ACL設(shè)置文件包括在其他文件上設(shè)置的許可列表。acl_file僅僅是這個(gè)命令的一個(gè)變量Setfaclr為ACL重新計(jì)算許可ACL條目每個(gè)下面列出的ACL描述區(qū)的條目都以冒號(hào)分開ACLFields描述Entry-type為所有者，所有者所在的組，指定的用戶，附加的組，或者ACLmask設(shè)置文件許可的條目的類型。UIDorGID用戶名或者識(shí)別號(hào)碼（UID）組名或者識(shí)別號(hào)碼（GID）perm為entry-type設(shè)置的許可，可以使用r,w,x和-或者使用0-7中的8進(jìn)制數(shù)的許可提示符。格式：setfacluu：perm，g：perm，o：perm，m：perm，u：UID：perm，g：GID：permfilename(s)Setfacl命令使用這些ACL條目在文件上設(shè)置文件的許可。例子：。user：perm-設(shè)置所有者的許可。group：perm-設(shè)置所有者所在組的許可。other：perm-設(shè)置用戶許可，除了所有者或者所有者所在組的成員。user：UID：perm-為一個(gè)特定的用戶設(shè)置許可。用戶名必須是已經(jīng)存在在/etc/passwd文件中。（user：username：perm）。group：GID：perm-為一個(gè)特定的組設(shè)置許可。組名必須是已經(jīng)存在于/etc/group文件中（或者group：groupname：perm）。mask：perm-設(shè)置ACLmask。Mask條目需要最大的許可允許所有的用戶，除了所有者和所有組。Mask是為所有用戶和組改變權(quán)限的快速的方法。在一個(gè)文件上添加和改變ACL許可使用setfaclm命令添加和改變ACL許可在一個(gè)或者多個(gè)文件的ACL條目。命令格式：setfaclmacl_entry，acl_entryfilename1filename2決定如果文件已經(jīng)有一個(gè)ACL有2條路徑?jīng)Q定已經(jīng)有一個(gè)ACL在文件上。使用getfacl命令。使用lsl命令使用lsl顯示的時(shí)候，任何已經(jīng)有一個(gè)ACL的文件都權(quán)限模式的末端附加一個(gè)“+”在文件上刪除ACL條目使用setfacld命令從文件刪除一個(gè)ACL條目。要?jiǎng)h除ACL條目，要指定UID或者GID。文件所有者，文件組所有者，其他和ACLmask不能刪除ACL條目命令格式setfacldACL_entryfilename(s)orsetfacldACL_entry,ACL_entryfilename(s)重新定位文件上的ACL條目要從命令行重新定位文件上的ACL條目，最少必須指定設(shè)置的用戶，組，其他和mask許可及文件名命令格式setfacluu：perm，g：perm，o：perm，m：perm，u：UID：perm，g：GID：permfilename(s)SA-238讀書筆記7http:/T 2005-9-13 14:03:00 ChinaU管理遠(yuǎn)程訪問發(fā)布在網(wǎng)絡(luò)上有著更多的訪問，這對(duì)遠(yuǎn)程系統(tǒng)用戶來說是有益的。無論如何，無限制的訪問和共享的數(shù)據(jù)和資源都需要考慮安全問題。本地主機(jī)的遠(yuǎn)程安全辦法一般是從遠(yuǎn)程系統(tǒng)用戶基于驗(yàn)證，限定，或者塊操作等方法。下面列舉了三個(gè)為操作基本的安全發(fā)布提供某些方法包括遠(yuǎn)程訪問本地系統(tǒng)的用戶的網(wǎng)絡(luò)文件：。/etc/hosts.equiv文件。$HOME/.rhosts文件。/etc/ftpusers文件/etc/hosts.equiv和$HOME/.rhosts文件一般的，當(dāng)一個(gè)遠(yuǎn)程用戶需要登陸訪問到一個(gè)本地主機(jī)，本地主機(jī)讀的第一個(gè)文件是/etc/passwd文件。從遠(yuǎn)程登陸的用戶在文件中都有一個(gè)已經(jīng)生效的條目。如果有一個(gè)密碼和這個(gè)用戶關(guān)聯(lián)。那么，用戶就必須提供正確的密碼才能訪問系統(tǒng)。當(dāng)用戶名不在遠(yuǎn)程主機(jī)的/etc/passwd中，則訪問拒絕。/etc/hosts.equiv和$HOME/.rhosts文件是另外一種使用基本密碼驗(yàn)證的方法。如果遠(yuǎn)程用戶允許訪問本地主機(jī)，則和本地用戶一致。這些文件提供一個(gè)遠(yuǎn)程鑒定程序來進(jìn)行決定。這個(gè)程序第一個(gè)檢查/etc/host.equiv文件，然后在需要訪問本地用戶的home目錄檢查$HOME/.rhosts文件。基于這兩個(gè)文件包含的信息（如果他們存在），決定是否允許用戶訪問系統(tǒng)。/etc/hosts.equiv文件適用于整個(gè)系統(tǒng)，而個(gè)別用戶可以在他們的home目錄中維護(hù)他們自己的$HOME/.rhosts文件。遠(yuǎn)程訪問鑒別（書上有個(gè)流程圖，在3-69），如圖。進(jìn)入/etc/hosts.equiv和$HOME/.rhosts當(dāng)/etc/hosts.equiv和$HOME/.rhosts文件具有相同的格式時(shí)，相同的條目在不同的文件中有不同的效果。常規(guī)格式包括下面的條目。2個(gè)文件都有一個(gè)一行的條目，他們可能是下面條目中的一種：hostnamehostnameusername+。如果只使用了hostname，那么所有的用戶都信任指定的主機(jī)，提供他們已知的本地主機(jī)。如果hostname和username都使用了，那么只有指定的遠(yuǎn)程用戶從指定的遠(yuǎn)程主機(jī)可以訪問到本地主機(jī)。一個(gè)文件中只包含了一個(gè)單獨(dú)的加號(hào)，任何一個(gè)在網(wǎng)絡(luò)上的遠(yuǎn)程主機(jī)是被信賴的。/etc/hosts.equiv文件對(duì)于正常的用戶，/etc/hosts.equiv文件通常是定義遠(yuǎn)程主機(jī)和遠(yuǎn)程用戶是被信賴的如果本地主機(jī)的/etc/hosts.equiv文件包含一個(gè)遠(yuǎn)程主機(jī)名，那么在遠(yuǎn)程主機(jī)上的所有的正常用戶是被信賴的并且不需要密碼就可以登陸到本地主機(jī)。每個(gè)遠(yuǎn)程用戶在本地主機(jī)上已知；其他的都被拒絕訪問。這在正常用戶在多個(gè)不同系統(tǒng)上有帳號(hào)的情況下是非常有用的，排除在網(wǎng)絡(luò)上傳送二進(jìn)制密碼的安全風(fēng)險(xiǎn)。/etc/hosts.equiv文件默認(rèn)是不存在的，如果遠(yuǎn)程用戶需要訪問本地主機(jī)的話，就建立文件。$HOME/.rhosts文件/etc/hosts.equiv文件適用于廣泛的非root用戶，.rhosts則適用于指定的用戶所有的用戶包括root，都可以自己的home目錄中建立并且維護(hù)他們自己的.rhosts文件例子：如果用戶從遠(yuǎn)程主機(jī)運(yùn)行rlogin程序并且獲得root權(quán)限訪問到本地主機(jī)，程序就會(huì)在root的本地主機(jī)的home目錄中檢測(cè)/.rhosts文件。如果遠(yuǎn)程主機(jī)名在文件中列表，他就被認(rèn)為是可信賴主機(jī)并且允許遠(yuǎn)程的用戶訪問，在這個(gè)過程中的root訪問，是在本地主機(jī)上得到的。$HOME/.rhosts文件默認(rèn)是不存在的，需要用戶在自己的home目錄中建立。限制FTP登陸Solaris操作系統(tǒng)提供一個(gè)叫做/etc/ftpusers的ASCII文件。ftpusers文件列出的是禁止運(yùn)行FTP登陸到系統(tǒng)的用戶名。在文件中的每一行包括一個(gè)被限制的用戶名當(dāng)ftp會(huì)話被調(diào)用的時(shí)候，F(xiàn)TP服務(wù)器in.ftpd守護(hù)進(jìn)程會(huì)讀這個(gè)ftpusers文件，如果登陸名與列表中的一個(gè)匹配，就拒絕會(huì)話，并返回“l(fā)oginfaild”信息。默認(rèn)的，ftpusers文件包括下列系統(tǒng)帳號(hào)：root；daemon；bin；sys；adm；lp；uucp；nuucp；listen；nobody；noaccess；nobody4http:/T 2005-9-13 14:03:00 ChinaU可以添加任何用戶名；這些條目中的帳號(hào)必須是在/etc/passwd文件中存在的。因?yàn)镾olaris8新的安全策略不允許root登陸，所以root也被包括在/etc/ftpusers文件中。如果在/etc/ftpusers中刪除root條目，那么root登陸權(quán)限就將被允許，/etc/default/login文件肯定反映遠(yuǎn)程root登陸權(quán)限。/etc/shells文件/etc/shells文件包含的是系統(tǒng)中shell的列表。在實(shí)際應(yīng)用中，例如sendmail和ftp，可以使用這個(gè)文件來決定一個(gè)shell是不是有效的。這個(gè)文件默認(rèn)是不存在的。建立文件時(shí)，希望認(rèn)可的每個(gè)shell必須有一個(gè)單獨(dú)的條目行，條目行由shell的路徑組成。#touch/etc/shells/sbin/sh/bin/sh/bin/ksh當(dāng)/etc/ftpusers文件禁止某個(gè)用戶ftp連接的時(shí)候，可以建立一個(gè)/etc/shells文件來允許只有那些運(yùn)行了在文件中定義了的shell的用戶進(jìn)行ftp連接。如果某個(gè)shell不在這個(gè)文件中，那么任何用戶運(yùn)行了這個(gè)未定義的shell都將不能允許利用ftp連接到系統(tǒng)。復(fù)習(xí)在進(jìn)入下一模塊之前，檢查一下在這一章都學(xué)到了什么。建立/var/adm/loginlog文件來保存不良的登陸企圖。使用finger，last和rusers來監(jiān)視系統(tǒng)的使用。使用su命令在系統(tǒng)上改變成root或者其他用戶。修改/etc/default/login文件來限制用戶的訪問。使用id命令和groups來定義用戶和他們的組成員。使用chown和chgrp命令分別的改變文件的所有者或文件的所屬組。解釋setuid，setgid和StickyBit是如何建立文件安全機(jī)制的。在文件上建立，更改和刪除ACLs。通過維護(hù)三個(gè)基本網(wǎng)絡(luò)文件來控制遠(yuǎn)程登陸訪問：/etc/hosts.equiv，$HOME/.rhosts和/etc/ftpusers第三章雖然結(jié)束了，但是我有很多地方不明白。1。ACL到底有什么用？沒徹底看明白啊2。/etc/hosts.equiv是用來定義主機(jī)間信任關(guān)系的嗎？3。id命令能夠幫助我做什么呢？他返回的數(shù)值，比我直接去看/etc/passwd文件來的更快嗎？4。setuid我的理解正確嗎？是不是一種用戶身份的切換呢？希望老師們能給解答一下，謝謝SA-238讀書筆記8http:/T 2005-9-13 14:03:00 ChinaU第四章目錄層次Solaris操作環(huán)境的文件類型。普通文件。目錄。符號(hào)鏈接。設(shè)備文件分辨文件類型使用lsl命令可以簡(jiǎn)單的看到文件的類型。-普通文件。d目錄。l連接文件。b塊設(shè)備文件。c字符設(shè)備文件文件名，Inodes（信息節(jié)點(diǎn)）和數(shù)據(jù)塊所有的文件都使用一個(gè)文件名和一個(gè)叫做inode的記錄來建立Solaris操作環(huán)境的文件。大部分文件使用數(shù)據(jù)塊來建立文件文件名通常用于訪問和操作文件inode則用于記錄文件的信息數(shù)據(jù)塊則用于在磁盤空間上保存數(shù)據(jù)一個(gè)文件必須有一個(gè)與inode相聯(lián)系的文件名。普通情況下，inode包含2個(gè)部分。第一，他們包含關(guān)于文件的信息，包括誰(shuí)是所有者，文件的權(quán)限和長(zhǎng)度。第二，他們包含一個(gè)指針指向與文件相關(guān)聯(lián)的數(shù)據(jù)塊。后面的inode模塊內(nèi)容詳細(xì)記錄著ufs文件系統(tǒng)的描述。無論如何，在普通情況下，一個(gè)文件名是與一個(gè)inode相關(guān)聯(lián)的，并且inode提供著對(duì)數(shù)據(jù)塊的訪問。;inodenumber（信息節(jié)點(diǎn)編號(hào)）Filename（文件名）-數(shù)據(jù)塊Inode是被編號(hào)的，并且每個(gè)文件系統(tǒng)在inode列表中都是獨(dú)立的。當(dāng)用戶建立一個(gè)新的文件系統(tǒng)時(shí)，就會(huì)在文件系統(tǒng)中產(chǎn)生一個(gè)完整的inode列表。普通文件一個(gè)普通文件簡(jiǎn)單的包含著數(shù)據(jù)。在Solaris操作系統(tǒng)中，大部分的公共文件都是普通文件，并且允許用戶保存不同種類的數(shù)據(jù)。普通文件可以保存ASCII文本，二進(jìn)制數(shù)據(jù)，圖片，數(shù)據(jù)庫(kù)，與應(yīng)用相關(guān)的數(shù)據(jù)和其他的用戶可以通過多種方法來建立普通文件。比如，用戶可以使用vi來建立ASCII文本文件，也可以通過編譯器來建立包含了二進(jìn)制數(shù)據(jù)的文件。同樣可以使用touch命令來建立空的普通文件。目錄目錄保存的信息是與文件名和inode編號(hào)想關(guān)聯(lián)的。不同于普通文件可以包含多種類別的數(shù)據(jù)那樣，目錄只能包含一種。用戶必須理解，目錄本身不能包含其他文件。一個(gè)目錄包含的是所有文件的邏輯條目。符號(hào)鏈接一個(gè)符號(hào)鏈接是一個(gè)指向其他文件的指針。就象目錄那樣，符號(hào)鏈接只包含一種類型的數(shù)據(jù)。符號(hào)鏈接指向文件路徑名的指針。因?yàn)榉?hào)鏈接使用路徑來指向其他文件，他們可以指向其他文件系統(tǒng)的文件。同樣，符號(hào)鏈接文件的長(zhǎng)度總是與指向路徑所需的字符數(shù)是匹配的。例如，一個(gè)符號(hào)鏈接文件/bin指向目錄./usr/bin，那么/bin就是9個(gè)字節(jié)。符號(hào)鏈接文件，可以指向普通文件，目錄，其他符號(hào)鏈接文件和設(shè)備文件。并且他們可以使用絕對(duì)的或者相對(duì)的路徑名。（符號(hào)鏈接也可以指向符號(hào)鏈接）使用ln-s命令來建立符號(hào)鏈接文件設(shè)備文件設(shè)備文件提供對(duì)設(shè)備的訪問。不同于普通文件，目錄和鏈接文件，設(shè)備文件不能使用數(shù)據(jù)塊，作為替換，在他們的inode信息中，他們包含引用設(shè)備的編號(hào)。在其他文件顯示長(zhǎng)度的地方，設(shè)備文件顯示2個(gè)號(hào)碼，并用逗號(hào)分開。這兩個(gè)號(hào)碼叫做主，副設(shè)備號(hào)碼。在下面的實(shí)例中，設(shè)備文件dad0,0a引用于主設(shè)備編號(hào)136和副設(shè)備編號(hào)0#cd/devices/pai1f,0/pci1,1/ide3#lsltotalbrw-lrootsys136,0Apr311:11dad0,0:abrw-lrootsys136,0Apr311:11dad0,0:a,raw主設(shè)備編號(hào)定義需要訪問的指定的設(shè)備驅(qū)動(dòng)。副設(shè)備編號(hào)定義在此設(shè)備控制器上的指定的單元。建立設(shè)備編號(hào)的命令包括devfsadm（Solaris8）drvconfig（Solaris7以前）mknod（Solaris1）在普通情況下，當(dāng)用戶執(zhí)行一個(gè)從新設(shè)置啟動(dòng)時(shí)設(shè)備文件是自動(dòng)建立的，在Solaris8操作系統(tǒng)，用戶可以使用devfsadm來手動(dòng)建立新的設(shè)備文件。之前的Solairs操作系統(tǒng)則使用drvconfig來建立。關(guān)于解釋設(shè)備文件名的信息和手動(dòng)或者自動(dòng)建立設(shè)備文件的程序的表書在后一個(gè)模塊中。字符設(shè)備文件文件類型為“c”的設(shè)備文件為字符設(shè)備文件。字符設(shè)備文件為磁盤設(shè)備調(diào)用基于磁盤最小地址單元或者扇區(qū)的I/O操作。每個(gè)扇區(qū)是512字節(jié)。塊設(shè)備文件文件類型為“b”的設(shè)備文件叫做塊設(shè)備文件。塊設(shè)備文件為磁盤設(shè)備調(diào)用基于一個(gè)定義了大小的塊的I/O操作。塊的長(zhǎng)度以來于字符設(shè)備，但是UFS文件系統(tǒng)，默認(rèn)的塊大小為8K字節(jié)。硬鏈接硬鏈接是文件名與inode之間關(guān)聯(lián)的鏈接。硬鏈接不區(qū)分文件類型。每個(gè)類型的文件都使用最少一個(gè)硬鏈接。目錄中的每個(gè)條目都由一個(gè)硬鏈接組成。每個(gè)文件名都被認(rèn)為是對(duì)一個(gè)inode的硬鏈接。當(dāng)一個(gè)用戶使用touch建立一個(gè)文件，一個(gè)新的目錄條目鏈接就鏈接到用戶指定的文件名和一個(gè)單獨(dú)的inode之間。每個(gè)inode都保存有一個(gè)與文件名關(guān)聯(lián)的計(jì)數(shù)器。這被成為鏈接計(jì)數(shù)器。Lsl命令輸出時(shí)，鏈接計(jì)數(shù)器在文件權(quán)限和所有者之間顯示使用ln命令，可以建立新的硬鏈接到一個(gè)普通的文件。命令lnfile1file2建立一個(gè)新的目錄條目叫做file2，file2關(guān)聯(lián)的inode與file1關(guān)聯(lián)的inode是相同的。使用lsli命令，可以列出文件的inode編號(hào)刪除其中一個(gè)，并不會(huì)導(dǎo)致其他的一起生效。鏈接計(jì)數(shù)器也會(huì)等價(jià)消耗。根目錄。/-是所有文件系統(tǒng)的根部。/bin鏈接于/usr/bin下的目錄，目錄中包括標(biāo)準(zhǔn)的系統(tǒng)命令或者二進(jìn)制文件。/dev主要用于定位邏輯設(shè)備名。這些符號(hào)鏈接文件指向/devices目錄。/devices主要用于定位物理設(shè)備名，他們是設(shè)備文件。/etc主機(jī)特定系統(tǒng)管理設(shè)置文件和數(shù)據(jù)庫(kù)。/export默認(rèn)的公共目錄文件。/home默認(rèn)的用戶家目錄。/kernel自由平臺(tái)可承載的內(nèi)核模塊需要的啟動(dòng)進(jìn)程。/mnt臨時(shí)性的文件系統(tǒng)的mount點(diǎn)。/opt附加應(yīng)用軟件包的默認(rèn)目錄。/sbin實(shí)用程序。/tmp臨時(shí)文件。/usr是UNIXSystemResoures的縮寫。/var可變文件的目錄SA-238讀書筆記9http:/T 2006-6-6 0:57:42 ChinaUnix第五章 設(shè)備結(jié)構(gòu) 磁盤的基本體系結(jié)構(gòu) 物理結(jié)構(gòu)磁盤的組成。一個(gè)或者多個(gè)磁盤片（platters）。磁盤片圍繞軸進(jìn)行旋轉(zhuǎn)。機(jī)械臂在磁盤片上移動(dòng)進(jìn)行讀/寫 磁盤片的組成。扇區(qū)（Sector）在盤片上的最小的可編址單元。一個(gè)扇區(qū)可以保持512個(gè)字節(jié)的數(shù)據(jù)。扇區(qū)通常被稱為磁盤塊。磁軌（Track）圍繞軸心的，有扇區(qū)組成的連續(xù)的圓。柱頭（Cylinder）磁軌之間的部分 定義磁盤分區(qū)（Slice）磁盤可以被分成單獨(dú)的分區(qū)，成為磁盤分區(qū)（Slice）。磁盤分區(qū)通常是用于組織數(shù)據(jù)的由柱頭組成的組。 一個(gè)磁盤在SunOS下可以被分成8個(gè)分區(qū)，稱為Slice 0到Slice 7 按照管理，Slice 2用于表示整個(gè)磁盤。記錄了磁盤的實(shí)際容量和可用于保存數(shù)據(jù)的柱頭數(shù)目。 啟動(dòng)磁盤 下面是一個(gè)按照管理在啟動(dòng)磁盤上的邏輯組織方法。SliceName功能0/root的系統(tǒng)文件1swap交換區(qū)2整個(gè)磁盤5/opt可選擇的軟件6/usr用戶文件系統(tǒng)7/export/home用戶文件和目錄 磁盤命名規(guī)則 ?？刂破魈?hào)定義主機(jī)總線控制器，控制器在磁盤單元和系統(tǒng)之間進(jìn)行通信。通常為c0，c1，c2。目標(biāo)號(hào)目標(biāo)號(hào)諸如t0，t1，t2等符合為每一個(gè)磁盤，磁帶機(jī)或者CD-ROM選擇的唯一的地址號(hào)碼。對(duì)于外置磁盤驅(qū)動(dòng)器，在后面板上設(shè)置地址。而對(duì)于內(nèi)置磁盤驅(qū)動(dòng)器，則利用跳線來設(shè)置分配目標(biāo)號(hào)（在SCSI通道上，實(shí)際上就是SCSI ID）。磁盤號(hào)碼磁盤號(hào)碼同樣也是已知的邏輯單元號(hào)碼（LUN）。這個(gè)號(hào)碼反映了磁盤在目標(biāo)位置的號(hào)碼。磁盤號(hào)碼通常都是由d0設(shè)置的。分區(qū)號(hào)碼分區(qū)號(hào)碼由0-7之間選擇。 設(shè)備命名管理 在Solaris操作環(huán)境中，所有的設(shè)備都有3個(gè)不同類型的名字：。邏輯設(shè)備名。物理設(shè)備名。Instance名 邏輯設(shè)備名 用戶使用邏輯設(shè)備名，并且在一些普通用戶的場(chǎng)合上，主要用于在命令行查閱。 所有的邏輯設(shè)備名都保存在/dev目錄 邏輯設(shè)備名是符號(hào)鏈接文件到保存在/devices中的物理設(shè)備名的 邏輯設(shè)備名包含控制器號(hào)，目標(biāo)號(hào)，磁盤號(hào)和分區(qū)號(hào) 每個(gè)磁盤設(shè)備都有一個(gè)條目在/dev/dsk和/dev/rdsk目錄。分別是塊磁盤設(shè)備和字符磁盤設(shè)備。 物理設(shè)備名 物理設(shè)備名唯一的定義了系統(tǒng)上的物理設(shè)備在硬件設(shè)備上的位置，并且在/devices目錄中維護(hù)。 包括硬件信息，連續(xù)的節(jié)點(diǎn)名的表示，隔離，指出與硬件連通的設(shè)備的路徑。 Instance名 Instance名是每個(gè)設(shè)備在系統(tǒng)上分配個(gè)內(nèi)核的縮寫 列出系統(tǒng)的設(shè)備 /etc/path_to_inst文件 在Solaris操作環(huán)境中，每一個(gè)設(shè)備系統(tǒng)都在/etc/path_to_inst文件中記錄了instance名和順延號(hào)碼與設(shè)備名。這些名字用來為內(nèi)核定義每一個(gè)可能的設(shè)備。這個(gè)文件在系統(tǒng)啟動(dòng)后是只讀的。 /etc/path_to_inst文件是用于維護(hù)內(nèi)核的。所以，一般沒有必要，系統(tǒng)管理員也不要隨意修改這個(gè)文件。 Prtconf命令 (用prtconf |grep v not 足以看到全部的信息)用戶使用prtconf命令來顯示系統(tǒng)的設(shè)置信息，包括已經(jīng)安裝了的內(nèi)存的總數(shù)和設(shè)置設(shè)備樹的系統(tǒng)外圍格式。 Prtconf命令列出所有的設(shè)備實(shí)例